ПОЛИТИКА
БУЗ Орловской области «Дмитровская ЦРБ»
в отношении обработки персональных данных
Настоящий документ разработан в соответствии с Федеральным законом «О персональных данных» № 152-ФЗ от 27 июля 2006 года и определяет политику БУЗ Орловской области «Дмитровская ЦРБ» (далее – Оператор, Учреждение) в отношении обработки персональных данных.
БУЗ Орловской области «Дмитровская ЦРБ» является оператором персональных данных, самостоятельно или совместно с другими лицами организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными, а также обеспечивает защиту прав и свобод субъектов при обработке их персональных данных и принимает меры для выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
1. Основные понятия.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
2. Категории субъектов, персональные данные которых обрабатываются в Учреждении.
2.1. Лица, обратившиеся в Учреждение за медицинской помощью.
2.2. Граждане, подавшие в Учреждение обращения (заявления, жалобы, предложения), претензии.
2.3. Работники Учреждения (в рамках трудовых отношений).
3. Основания и цели обработки персональных данных.
3.1. Учреждение осуществляет обработку персональных данных в соответствии с требованиями следующих нормативных правовых актов:
- Конституции Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);
- Гражданского кодекса Российской Федерации от 30 ноября 1994 года № 51-ФЗ;
- Налогового кодекса Российской Федерации от 05 августа 2000 года № 117-ФЗ;
- Трудового кодекса Российской Федерации от 30 декабря 2001 года № 197-ФЗ;
- Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федерального закона от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
3.2. Обработка персональных данных граждан (их законных представителей) необходима для осуществления Учреждением деятельности в сфере охраны здоровья и осуществляется исключительно в целях:
- соблюдения законов и иные нормативных правовых актов;
- защиты законных прав и интересов граждан при оказании медицинской помощи;
- исполнения договорных обязательств оказание медицинских услуг;
- соблюдения трудового законодательства;
- осуществления бухгалтерской и экономической деятельности.
4. Общие принципы обработки персональных данных.
4.1. Обработка персональных данных в Учреждении осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом «О персональных данных», и учитывает необходимость обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейной тайны, а именно:
- законности заранее определенных конкретных целей и способов обработки персональных данных;
- соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных;
- соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обеспечения надлежащей защиты персональных данных;
- недопустимости объединения созданных для несовместимых между собой целей баз данных, содержащих персональные данные;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки;
- уничтожения по достижении целей обработки персональных данных, если срок хранения персональных данных не установлен законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
- обеспечения конфиденциальности обрабатываемых персональных данных.
4.2. Обработка персональных данных субъектов персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации.
4.3. К обработке персональных данных допускаются только те работники учреждения, доступ которых к персональным данным необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать только те персональные данные и в том объеме, которые необходимы им для выполнения своих служебных (трудовых) обязанностей.
4.4. Работники учреждения, допущенные к обработке персональных данных, информируются об условиях и правилах обработки персональных данных, режимах защиты информационных систем персональных данных, порядке хранения материальных носителей персональных данных.
5. Права и обязанности субъекта персональных данных и оператора.
5.1. Субъект персональных данных обязан:
- предоставить достоверные персональные данные, необходимые для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации.
5.2. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных, в порядке, форме и сроки, установленные Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- отозвать свое согласие на обработку персональных данных;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных.
5.3.Оператор обязан:
- принимать необходимые меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации в сфере обработки и защиты персональных данных;
- разъяснять субъекту персональных данных юридические последствия отказа предоставить персональные данные, если это является обязательным в соответствии с законодательством Российской Федерации;
- осуществлять блокирование неправомерно обрабатываемых персональных данных;
- осуществлять прекращение обработки персональных данных в соответствии с законодательством Российской Федерации;
- уведомлять субъекта персональных данных об устранении допущенных нарушений или уничтожении его персональных данных;
- предоставлять по просьбе субъекта персональных данных или его представителя информацию, касающуюся обработки его персональных данных, в порядке, установленном законодательством Российской Федерации и нормативными правовыми актами.
5.4. Оператор имеет право:
- требовать от субъекта персональных данных предоставления достоверных персональных данных, необходимых для исполнения договора, оказания услуги, идентификации субъекта персональных данных, а также в иных случаях, предусмотренных Федеральным законодательством Российской Федерации;
- обрабатывать персональные данные субъекта, предоставлять персональные данные субъекта третьим лицам без его согласия, если это предусмотрено Федеральным законодательством Российской Федерации;
- поручать обработку персональных данных другим лицам с согласия субъекта персональных данных;
- отказывать в предоставлении персональных данных в случаях, предусмотренных законодательством.
6. Обеспечение безопасности персональных данных.
6.1. Учреждение принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного доступа к ним, обеспечения достаточного уровня их защиты, соблюдения конфиденциальности, целостности и доступности обрабатываемых персональных данных и сохранности материальных носителей сведений, содержащих персональные данные.
6.2. В целях обеспечения безопасности персональных данных Оператором выполняются следующие мероприятия:
- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных,обеспечение безопасности персональных данных в информационных системах;
- определение и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- принятие локальных нормативных актов по защите персональных данных;
- утверждение перечня работников, имеющих право доступа к персональным данным и их обработки;
- ознакомление работников с требованиями федерального законодательства и нормативных документов по обработке и защите персональных данных;
- использование средств защиты персональных данных от несанкционированного доступа к ним (системы разграничения прав доступа к информации, криптографическая защита, аутентификация пользователя, межсетевое экранирование);
- установление парольной защиты при осуществлении доступа пользователей к информационной системе персональных данных;
- предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) с помощью установленного антивирусного пакета;
- соблюдение условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним: хранение документов – носителей персональных данных в закрытых шкафах, сейфах, исключение визуального доступа к мониторам, установление охранной сигнализации;
- реализация разрешительной системы доступа пользователей к информационным ресурсам, программно-аппаратным средствам обработки и защиты информации;
- учет и хранение материальных носителей персональных данных в условиях, обеспечивающих их сохранность;
- обеспечение раздельного хранения материальных носителей персональных данных, на которых содержатся персональные данные разных категорий граждан или содержатся персональные данные, обработка которых осуществляется в разных целях;
- резервное копирование информации и обеспечение возможности восстановления персональных данных;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных;
- обеспечение контроля за порядком обработки персональных данных и обеспечения их безопасности, поддержания установленного уровня защищенности информационных систем персональных данных.
7. Заключительные положения.
Настоящая Политика является общедоступной и размещается в открытом доступе с целью обеспечения возможности ознакомления с ней неограниченного количества лиц.
За нарушение законодательства о персональных данных лица, допустившие указанные нарушения, несут дисциплинарную, административную, уголовную и гражданско-правовую ответственность.